📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global vulnerability تكنولوجيا المعلومات CRITICAL 41m Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 1h Global vulnerability تكنولوجيا المعلومات والاتصالات CRITICAL 1h Global apt الخدمات المالية والمصرفية HIGH 7h Global vulnerability قطاع التكنولوجيا وتطوير البرمجيات HIGH 10h Global vulnerability الحكومة والوكالات الفيدرالية CRITICAL 10h Global supply_chain تطوير البرمجيات والنظم البيئية مفتوحة المصدر HIGH 11h Global vulnerability برامج المؤسسات/البرامج كخدمة MEDIUM 11h Global supply_chain تطوير البرمجيات HIGH 11h Global general التأمين/إدارة المخاطر HIGH 11h Global vulnerability تكنولوجيا المعلومات CRITICAL 41m Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 1h Global vulnerability تكنولوجيا المعلومات والاتصالات CRITICAL 1h Global apt الخدمات المالية والمصرفية HIGH 7h Global vulnerability قطاع التكنولوجيا وتطوير البرمجيات HIGH 10h Global vulnerability الحكومة والوكالات الفيدرالية CRITICAL 10h Global supply_chain تطوير البرمجيات والنظم البيئية مفتوحة المصدر HIGH 11h Global vulnerability برامج المؤسسات/البرامج كخدمة MEDIUM 11h Global supply_chain تطوير البرمجيات HIGH 11h Global general التأمين/إدارة المخاطر HIGH 11h Global vulnerability تكنولوجيا المعلومات CRITICAL 41m Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 1h Global vulnerability تكنولوجيا المعلومات والاتصالات CRITICAL 1h Global apt الخدمات المالية والمصرفية HIGH 7h Global vulnerability قطاع التكنولوجيا وتطوير البرمجيات HIGH 10h Global vulnerability الحكومة والوكالات الفيدرالية CRITICAL 10h Global supply_chain تطوير البرمجيات والنظم البيئية مفتوحة المصدر HIGH 11h Global vulnerability برامج المؤسسات/البرامج كخدمة MEDIUM 11h Global supply_chain تطوير البرمجيات HIGH 11h Global general التأمين/إدارة المخاطر HIGH 11h
الثغرات

CVE-2018-25364

مرتفع
CWE-89 — نوع الضعف
نُشر: May 25, 2026  ·  آخر تحديث: Jun 1, 2026  ·  المصدر: NVD
CVSS v3
8.2
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

Twitter-Clone 1 contains a SQL injection vulnerability that allows unauthenticated attackers to execute arbitrary SQL queries by injecting malicious code through the name parameter. Attackers can submit crafted payloads to the search.php endpoint to extract database information including usernames, credentials, and system data using error-based and union-based SQL injection techniques.

🤖 ملخص AI

CVE-2018-25364 is a critical SQL injection vulnerability in Twitter-Clone 1 affecting the search.php endpoint that allows unauthenticated attackers to execute arbitrary SQL queries and extract sensitive database information including credentials and usernames. With a CVSS score of 8.2 and no available patch, this vulnerability poses an immediate threat to any organization running this application. The lack of authentication requirements makes this vulnerability particularly dangerous for public-facing deployments.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: May 28, 2026 23:51
🇸🇦 التأثير على المملكة العربية السعودية
This vulnerability poses significant risk to Saudi organizations using Twitter-Clone 1, particularly in government digital transformation initiatives, banking sector customer-facing applications, and telecom companies (STC, Mobily) operating social media platforms. The SQL injection vulnerability could lead to unauthorized access to customer databases, credential theft, and potential compliance violations under NCA ECC 2024 and SAMA CSF frameworks. Healthcare organizations using this platform for patient communication face HIPAA-equivalent data breach risks. The lack of authentication requirement makes this especially critical for any public-facing deployment in Saudi Arabia's digital ecosystem.
🏢 القطاعات السعودية المتأثرة
Banking and Financial Services Government and Public Administration Healthcare Telecommunications Energy and Utilities E-commerce and Retail Education Media and Broadcasting
⚖️ درجة المخاطر السعودية (AI)
8.5
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:

1. Identify all instances of Twitter-Clone 1 in your environment and isolate affected systems from production networks if possible

2. Implement Web Application Firewall (WAF) rules to block SQL injection patterns in the search.php endpoint, specifically filtering for SQL keywords (UNION, SELECT, DROP, etc.) in the name parameter

3. Enable comprehensive logging and monitoring of all requests to search.php endpoint



COMPENSATING CONTROLS (until patch available):

4. Implement input validation and sanitization: whitelist allowed characters for the name parameter, reject any special SQL characters

5. Apply parameterized queries/prepared statements if source code access is available

6. Restrict database user permissions to minimum required privileges (principle of least privilege)

7. Disable error messages that reveal database structure information

8. Implement rate limiting on search.php endpoint to prevent automated exploitation



DETECTION RULES:

9. Monitor for SQL keywords in HTTP requests: UNION, SELECT, INSERT, DROP, DELETE, EXEC, SCRIPT

10. Alert on multiple failed database queries or unusual query patterns

11. Track database connection errors and authentication failures

12. Implement SIEM rules to detect error-based and union-based SQL injection attempts



LONG-TERM:

13. Plan immediate migration away from Twitter-Clone 1 to a maintained, secure alternative

14. Conduct full security code review if continuing use is unavoidable

15. Implement Web Application Firewall with SQL injection detection signatures
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:

1. حدد جميع حالات Twitter-Clone 1 في بيئتك وعزل الأنظمة المتأثرة عن شبكات الإنتاج إن أمكن

2. تطبيق قواعد جدار حماية تطبيقات الويب (WAF) لحجب أنماط حقن SQL في نقطة نهاية search.php، وتصفية كلمات SQL المفتاحية بشكل خاص (UNION, SELECT, DROP, إلخ) في معامل الاسم

3. تفعيل السجلات الشاملة ومراقبة جميع الطلبات إلى نقطة نهاية search.php



الضوابط التعويضية (حتى توفر التصحيح):

4. تطبيق التحقق من صحة المدخلات والتطهير: قائمة بيضاء للأحرف المسموحة لمعامل الاسم، رفض أي أحرف SQL خاصة

5. تطبيق الاستعلامات المعاملة/البيانات المحضرة إذا كان الوصول إلى الكود المصدري متاحاً

6. تقييد أذونات مستخدم قاعدة البيانات إلى الحد الأدنى المطلوب (مبدأ أقل امتياز)

7. تعطيل الرسائل التي تكشف عن هيكل قاعدة البيانات

8. تطبيق تحديد معدل على نقطة نهاية search.php لمنع الاستغلال الآلي



قواعد الكشف:

9. مراقبة كلمات SQL المفتاحية في طلبات HTTP: UNION, SELECT, INSERT, DROP, DELETE, EXEC, SCRIPT

10. تنبيهات على استعلامات قاعدة البيانات الفاشلة المتعددة أو أنماط الاستعلام غير العادية

11. تتبع أخطاء اتصال قاعدة البيانات وفشل المصادقة

12. تطبيق قواعد SIEM للكشف عن محاولات حقن SQL القائمة على الأخطاء والقائمة على الاتحاد



المدى الطويل:

13. خطط الهجرة الفورية بعيداً عن Twitter-Clone 1 إلى بديل آمن وموثوق

14. إجراء مراجعة أمان كاملة للكود إذا كان الاستمرار في الاستخدام ضرورياً

15. تطبيق جدار حماية تطبيقات الويب مع توقيعات كشف حقن SQL
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
A.5.1.1 - Information Security Policies and Procedures A.6.1.2 - Access Control and Authentication A.7.1.1 - Cryptography and Data Protection A.8.1.1 - Audit Logging and Monitoring A.9.1.1 - Incident Management A.10.1.1 - Business Continuity and Disaster Recovery
🔵 SAMA CSF
Governance - Risk Management Framework Protect - Access Control and Data Protection Detect - Monitoring and Logging Respond - Incident Response Procedures Recover - Business Continuity Planning
🟡 ISO 27001:2022
A.5.1.1 - Policies for information security A.6.1.2 - Access control A.8.1.1 - User endpoint devices A.8.2.1 - User access management A.8.3.1 - User responsibilities A.12.4.1 - Event logging A.14.2.1 - Secure development policy
🟣 PCI DSS v4.0.1
Requirement 1 - Install and maintain firewall configuration Requirement 2 - Do not use vendor-supplied defaults Requirement 6 - Develop and maintain secure systems and applications Requirement 6.5.1 - Injection flaws prevention Requirement 10 - Track and monitor access to network resources Requirement 12 - Maintain information security policy
📊 CVSS Score
8.2
/ 10.0 — مرتفع
📊 CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
Attack VectorN — None / Network
Attack ComplexityL — Low / Local
Privileges RequiredN — None / Network
User InteractionN — None / Network
ScopeU — Unchanged
ConfidentialityH — High
IntegrityL — Low / Local
AvailabilityN — None / Network
📋 حقائق سريعة
الخطورة مرتفع
CVSS Score8.2
CWECWE-89
EPSS0.07%
اختراق متاح لا
تصحيح متاح ✗ لا
تاريخ النشر 2026-05-25
المصدر nvd
المشاهدات 2
🇸🇦 درجة المخاطر السعودية
8.5
/ 10.0 — مخاطر السعودية
أولوية: CRITICAL
🏷️ الوسوم
CWE-89
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.